Endpoints OIDC
Référence complète de tous les endpoints OIDC/OAuth2 de Trousseau.
URL de base
Tous les endpoints sont relatifs à l'URL de base de Trousseau :
https://auth.trousseau.appDécouverte
Utilisez l'endpoint de découverte OpenID Connect pour auto-configurer votre client OIDC :
GET https://auth.trousseau.app/application/o/{your-slug}/.well-known/openid-configurationCela retourne un document JSON contenant toutes les URLs d'endpoints, les scopes pris en charge, les algorithmes de signature, et plus encore.
Autorisation
Lance le flux d'authentification. Redirigez le navigateur de l'utilisateur vers cet endpoint.
GET https://auth.trousseau.app/application/o/authorize/| Paramètre | Obligatoire | Description |
|---|---|---|
client_id | Oui | Votre client ID OIDC |
response_type | Oui | code |
scope | Oui | Scopes séparés par des espaces (doit inclure openid) |
redirect_uri | Oui | URL de callback enregistrée |
state | Recommandé | Chaîne aléatoire pour la protection CSRF |
code_challenge | Oui | Code challenge PKCE (S256) |
code_challenge_method | Oui | S256 |
Token
Échange un code d'autorisation contre des tokens, ou renouvelle des tokens existants.
POST https://auth.trousseau.app/application/o/token/
Content-Type: application/x-www-form-urlencodedÉchange du code d'autorisation
| Paramètre | Valeur |
|---|---|
grant_type | authorization_code |
code | Code d'autorisation reçu dans le callback |
redirect_uri | Identique à celui de la requête d'autorisation |
client_id | Votre client ID |
client_secret | Votre client secret |
code_verifier | Code verifier PKCE |
Renouvellement de token
| Paramètre | Valeur |
|---|---|
grant_type | refresh_token |
refresh_token | Votre refresh token |
client_id | Votre client ID |
client_secret | Votre client secret |
Réponse
{
"access_token": "eyJ...",
"token_type": "Bearer",
"expires_in": 300,
"refresh_token": "eyJ...",
"id_token": "eyJ...",
"scope": "openid email profile"
}UserInfo
Récupère les claims de l'utilisateur authentifié.
GET https://auth.trousseau.app/application/o/userinfo/
Authorization: Bearer {access_token}Retourne les mêmes claims que l'ID token. Consultez Scopes et Claims pour la liste complète.
JWKS
Récupère les clés publiques utilisées pour signer les tokens. Utilisez cela pour valider les signatures des ID tokens et logout tokens.
GET https://auth.trousseau.app/application/o/{your-slug}/jwks/Retourne un JWK Set standard :
{
"keys": [
{
"kty": "RSA",
"alg": "RS256",
"use": "sig",
"kid": "...",
"n": "...",
"e": "AQAB"
}
]
}End Session (Déconnexion)
Termine la session SSO Trousseau et redirige l'utilisateur.
GET https://auth.trousseau.app/application/o/{your-slug}/end-session/| Paramètre | Obligatoire | Description |
|---|---|---|
id_token_hint | Recommandé | L'ID token de l'utilisateur |
post_logout_redirect_uri | Recommandé | Vers où rediriger après la déconnexion (doit être enregistré) |
Consultez le guide SSO Logout pour les détails d'implémentation.
Durées de vie des tokens
| Token | Durée par défaut | Configurable |
|---|---|---|
| Access token | 5 minutes | Par partenaire (sur demande) |
| ID token | 5 minutes | Suit l'access token |
| Refresh token | 30 jours | Par partenaire (sur demande) |
| Code d'autorisation | 60 secondes | Non |